Adobe ทำการแก้ไขช่องโหว่ด้านความปลอดภัยบน Flash, ColdFusion และ Campaign Classic

Adobe ออกแพตช์แก้ไขประจำเดือนมิถุนายน 2019 ช่องโหว่ส่วนใหญ่ที่ถูกแก้นี้มักจะเป็นช่องโหว่ที่ทำให้รันโค้ดได้โดยไม่ได้รับอนุญาต

ใน Adobe Flash มีการแก้ไขเพียงช่องโหว่เดียวสำหรับซอฟต์แวร์รุ่น 32.0.0.192 และก่อนหน้าบนระบบ Windows, macOS, Linux และ Chrome OS คือช่องโหว่ CVE-2019-7845 ช่องโหว่ด้านความปลอดภัยที่ทำให้ผู้โจมตีสามารถรันโค้ดได้โดยไม่ได้รับอนุญาตได้

Adobe ColdFusion รุ่น 11 , 2016 และ 2018 มีแก้ไข 3 ช่องโหว่ คือ CVE-2019-7838, CVE-2019-7839 และ CVE-2019-7840 เป็นช่องโหว่ที่สามารถแนบไฟล์ที่เป็นอันตราย ช่องโหว่ command injection และช่องโหว่ที่ทำให้รันโค้ดที่ไม่ปลอดภัยโดยไม่ได้รับอนุญาตได้

และใน Adobe Campaign Classic แก้ไข 7ช่องโหว่ มีช่องโหว่ร้ายแรงมากคือ CVE-2019-7850 เป็นช่องโหว่ command injection ส่วนช่องโหว่อื่น CVE-2019-7843, CVE-2019-7941, CVE-2019-7846, CVE-2019-7848 และ CVE-2019-7849 สามารถทำให้ข้อมูลรั่วไหลได้ และ CVE-2019- 7847 ให้สิทธิ์ในการเข้าถึงอ่าน file system ได้

Adobe ได้ขอบคุณนักวิจัยจาก Zero Day Initiative ของ Trend Micro ทีม 404 Booz Allen Hamilton และโซลูชั่น Cyber ของ Aon สำหรับการรายงานช่องโหว่ต่างๆ ในแพตช์ครั้งนี้

ผู้ใช้ควรทำการ update patch เพื่อหลีกเลี่ยงการโจมตีผ่านช่องโหว่ดังกล่าว

ที่มา:zdnet

Adobe ปล่อยแพทช์ประจำเดือนเมษายน แก้ไขช่องโหว่ทั้งหมด 43 รายการ ที่รวมถึงช่องโหว่สำคัญ (Critical) 24 รายการในผลิตภัณฑ์ 8 รายการด้วย

ช่องโหว่สำคัญ 24 รายการ เป็นช่องโหว่ที่ส่งผลให้ผู้ไม่หวังดีสามารถสั่งรันคำสั่งที่เป็นอันตรายได้ (code execution) บนผลิตภัณฑ์หลายรายการ ยกตัวอย่างเช่น Acrobat Reader, Adobe Flash และ Adobe Shockwave Player เป็นต้น สำหรับในรอบนี้ผลิตภัณฑ์ที่มีจำนวนช่องโหว่ที่ได้รับการแก้ไขมากที่สุด คือ Acrobat Reader มีทั้งหมด 21 รายการ และ 11 รายการเป็นช่องโหว่สำคัญ (Critical) ประกอบด้วย Acrobat DC (2019.010.20098 และก่อนหน้า), Acrobat Reader 2017 (2017.011.30127 และก่อนหน้า), Acrobat Reader DC Classic 2015 (2015.006.30482 และก่อนหน้า) ทั้งบน Windows และ macOS

นอกจากนี้ยังแก้ไขช่องโหว่การรันคำสั่งอันตรายใน Adobe Shockwave Player (เวอร์ชั่น 12.3.4.204 และก่อนหน้า) ทั้งหมด 7 รายการ, ใน Adobe Flash 1 รายการ และช่องโหว่เกี่ยวกับการเปิดเผยข้อมูล (information disclosure) อีก 1 รายการ, ใน Adobe XD 2 รายการ, ใน InDesign 1 รายการ, ใน Adobe Bridge CC 2 รายการ และช่องโหว่เกี่ยวกับการเปิดเผยข้อมูลอีก 6 รายการ และแก้ไขช่องโหว่ความรุนแรงระดับกลาง (Moderate) ใน Adobe Dreamweaver

ผู้ใช้งานที่มีการใช้งานผลิตภัณฑ์ที่ได้รับผลกระทบ ควรทำการอัพเดตให้เป็นเวอร์ชั่นล่าสุด และติดตามข้อมูลเกี่ยวกับความปลอดภัยของผลิตภัณฑ์อย่างสม่ำเสมอ

ที่มา: threatpost

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์เกาหลีใต้หรือ KR-CERT ออกประกาศแจ้งเตือนการโจมตีด้วยช่องโหว่ 0-day ของ Adobe Flash Player ที่ยังไม่มีการแพตช์ในตอนนี้เพื่อโจมตีผู้ใช้งานที่ใช้ Windows ในเกาหลีใต้ โดยการโจมตีครั้งนี้ KR-CERT กล่าวว่าเป็นการโจมตีจากเกาหลีเหนือ

อ้างอิงจากประกาศต่อมาจาก Adobe ช่องโหว่ที่ถูกโจมตีดังกล่าวในภายหลังถูกระบุด้วยรหัส CVE-2018-4878 ซึ่งมีที่มาจากปัญหา use-after-free ที่ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล โดยช่องโหว่นี้ส่งผลกระทบตั้งแต่ Adobe Flash Player ตั้งแต่เวอร์ชัน 28.0.0.137 หรือเก่ากว่า

แนะนำให้ผู้ใช้งานทำการอัปเดตเวอร์ชันของ Adobe Flash Player โดยด่วน

ที่มา : thehackernews

Microsoft ได้ปล่อย Tuesday Patch ประจำเดือนตุลาคมออกมา ครอบคลุมช่องโหว่มากกว่า 60 รายการ ทั้งที่เป็น Critical และ Important โดยเป็นช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อการใช้งาน Graphics, Edge, Internet Explorer, Office, Sharepoint, Windows Graphic Display Interface, Windows Kernel Mode Drivers เป็นต้น อย่างไรก็ตามยังไม่มี Patch สำหรับการแก้ไขช่องโหว่ของ Flash ออกมาแต่อย่างไร

สำหรับ Patch ที่ปล่อยออกมามีช่องโหว่ 3 รายการ ที่ได้รับการแนะนำว่าจำเป็นจะต้องทำการอัพเดท ได้แก่ ช่องโหว่ของ Memory ใน Microsoft Office(CVE-2017-11826), ช่องโหว่ของ Cross-site scripting ใน Sharepoint Server(CVE-2017-11777) และ ช่องโหว่ DoS ใน Windows Subsystem รวมถึงช่องโหว่ที่เกี่ยวข้องกับ Firmware อย่าง Trusted Platform Modules (TPMs) ซึ่งเป็นปัญหาของการสร้างคีย์ที่มีความปลอดภัยต่ำ(weak cryptographic keys) ขึ้นมาใช้งาน

ทั้งนี้สามารถเข้าไปดาวน์โหลด Patch ล่าสุดได้จากเว็ปไซต์ทางการของ Microsoft ได้แล้ว หรือทำการเปิด Automatically Update ไว้ เพื่อให้ระบบทำการอัพเดทให้เองโดยอัตโนมัติ

ที่มา : theregister